OpenSFF推出GitHub应用程序Allstar,可自动且持续地对GitHub项目,执行安全最佳实践。借由使用Allstar,项目拥有者可以检查存储库安全策略遵守的状况,并且设置必要的强制执行措施,在组织或是项目存储库中的设置和文件更改时,触发执行这些措施,进而降低开源社群的安全风险。
Google发布的Security Scorecards项目在Allstar中扮演重要角色,Security Scorecards是可评估存储库和相依项目安全风险的自动化工具,能够以许多启发式方法进行多种重要的检查,像是项目是否使用分支保护,对构件进行加密签章,或是需要程序代码审核等。
用户通过这些分数,可以了解项目的安全状况,而Allstar则从这些分数采取下一阶段行动,供维护人员选择自动执行特定检查,当存储库无法通过特定检查,则Allstar便会自动进行必要的更改来修复问题,简单来说,Security Scorecards可以协助用户评估项目安全状态,而Allstar则可以协助用户实现安全目标。
Allstar会根据安全策略,持续检查GitHub API状态和存储库文件内容,并且在状态不符合政策的时候,强制采取行动来修正问题。官方提到,Allstar能够确安全全状态的连续性,像是当有恶意攻击者突然禁用分支保护,想要在重新激活保护之前进行恶意更改,Allstar能够侦测该行为并且采取行动。
接下来,Allstar还会加入自动相依项目更新,以及冻结依赖性等功能。由于开源组件会定期发现和修复安全漏洞,而Allstar可以自动更新项目的相依项目,来排除已知漏洞,另外,跳过审查自动整合新的相依项目版本,是一种攻击手法,而冻结文件和部分固定文件,可以防止受入侵的相依项目进到项目中。
OpenSSF提供一个公用的执行实例,供所有人安装和使用,但是用户也可以创建和执行私人的Allstar执行实例。